Monti Gang lancia un ransomware aggiornato contro Linux
Il gruppo di minacce ransomware Monti è riapparso dopo una pausa di due mesi, introducendo una nuova versione del loro crittografo progettato per i sistemi Linux. Il gruppo ha spostato la propria attenzione verso il governo e i settori legali nei loro recenti attacchi.
Inizialmente emerso nel giugno 2022, poco dopo che il gruppo ransomware Conti aveva cessato le sue attività, Monti aveva imitato i metodi e gli strumenti di Conti, incorporando persino il codice sorgente trapelato da Conti. Tuttavia, questo modello è cambiato con l'ultima versione.
Monti prende una pagina dal libro di Conti
Secondo Trend Micro, questa nuova variante segna un notevole allontanamento dalle sue precedenti iterazioni basate su Linux. A differenza della versione precedente, che faceva molto affidamento sul codice sorgente Conti trapelato, la versione recente utilizza un crittografo distinto e mostra nuovi comportamenti, come delineato dai ricercatori di Trend Micro Nathaniel Morales e Joshua Paul Ignacio.
Attraverso un'analisi BinDiff, è stato scoperto che mentre le versioni precedenti mostravano una somiglianza del 99% con Conti, la versione attuale mostra solo una somiglianza del 29%. Questa drastica diminuzione della somiglianza punta verso una sostanziale revisione.
Le principali modifiche includono l'introduzione di un parametro "--whitelist" per aggirare la crittografia di macchine virtuali specifiche, insieme alla rimozione di argomenti della riga di comando come "--size", "--log" e "--vmlist".
Inoltre, la variante Linux è stata progettata per manipolare il file motd (messaggio del giorno) al fine di esibire la richiesta di riscatto. Invece di utilizzare la crittografia Salsa20, ora utilizza la crittografia AES-256-CTR. Inoltre, il processo di crittografia ora dipende esclusivamente dalla dimensione del file. Per elaborare, i file più grandi di 1,048 MB ma inferiori a 4,19 MB avranno solo i 100.000 byte iniziali crittografati. D'altra parte, i file che superano i 4,19 MB avranno una parte del loro contenuto bloccata, a seconda del risultato di un'operazione Shift Right. I file di dimensioni inferiori a 1.048 MB verranno interamente crittografati.
I ricercatori di Trend Micro suggeriscono che mentre elementi del codice sorgente Conti probabilmente servono come base per questa nuova variante Monti, sono state introdotte modifiche significative al codice, in particolare per quanto riguarda l'algoritmo di crittografia.